專利名稱:一種多維度網(wǎng)絡態(tài)勢感知的方法、設備及系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及網(wǎng)絡態(tài)勢感知技術領域��,特別涉及一種多維度網(wǎng)絡態(tài)勢感知的方法、 設備及系統(tǒng)�。
背景技術:
下面首先介紹本領域的幾個技術術語����。網(wǎng)絡態(tài)勢感知(NSA,Network Situation Awareness)網(wǎng)絡態(tài)勢是指由各種網(wǎng)絡 設備的運行狀況�����、網(wǎng)絡行為以及用戶行為等因素所構成的整個網(wǎng)絡的當前狀態(tài)和變化趨 勢。網(wǎng)絡態(tài)勢感知是指在大規(guī)模網(wǎng)絡環(huán)境中�����,對能夠引起網(wǎng)絡態(tài)勢發(fā)生變化的安全要素進 行獲取�、理解���、顯示以及預測未來的發(fā)展趨勢。多維度相關物件的不同屬性。例如網(wǎng)絡流的應用�、用戶等屬性��。關聯(lián)性通過不同維度的關聯(lián)可以產生不同的網(wǎng)絡感知報告集�����。應用識別對網(wǎng)絡中的流進行識別,標記流屬于什么協(xié)議以及流的行為等���。管道是流控產品中的概念�����,把網(wǎng)絡的內部和外部網(wǎng)口統(tǒng)一配置到一個管道中����,使 得管道具有管理流量的功能。3A 用戶認證分別為認證(Authentication)��、授權(Authorization)、計帳 (Accounting)�����。認證(Authentication)驗證用戶的身份與可使用的網(wǎng)絡服務����;授權(Authorization)依據(jù)認證結果開放網(wǎng)絡服務給用戶;計帳(Accounting)記錄用戶對各種網(wǎng)絡服務的用量����,并提供給計費系統(tǒng)����。隨著網(wǎng)絡規(guī)模的日益擴大和網(wǎng)絡流量的急速增加,對網(wǎng)絡行為的精確測量越來越 困難。網(wǎng)絡時刻受到故障���、攻擊��、災難或突發(fā)事件的威脅,其可用性���、安全性和生存性面臨嚴 峻挑戰(zhàn)���。網(wǎng)絡運行狀況瞬息萬變。因此����,現(xiàn)代網(wǎng)絡管理必須能夠在急劇變化的復雜環(huán)境中��, 高效組織不確定的網(wǎng)管信息并進行分析評估�����,提供被管對象的詳細信息,提高網(wǎng)絡管理員 對整個網(wǎng)絡運行狀況的認知和理解��,提供多樣化���、個性化的管理服務,輔助指揮人員迅速�、 準確地做出決策�����,彌補當前網(wǎng)絡管理的不足��。但是,現(xiàn)有技術中的網(wǎng)絡管理中的各個網(wǎng)絡管理單元處于獨立的工作狀態(tài)���,每個 網(wǎng)絡管理單元只負責收集與本單元有關的網(wǎng)絡信息狀態(tài)����。隨著網(wǎng)絡規(guī)模的不斷擴大���,相應 的網(wǎng)絡管理單元也越來越復雜,導致網(wǎng)絡管理信息越來越龐大����,如果相互之間沒有聯(lián)系,則 不能有效進行信息的共享和反饋����。并且,現(xiàn)有的網(wǎng)絡態(tài)勢感知主要是以安全感知為主����,但是 隨著網(wǎng)絡規(guī)模的不斷擴大�,用戶對于網(wǎng)絡整體情況的關注不僅僅局限于安全角度����。綜上所述,目前的以感知安全為主的網(wǎng)絡態(tài)勢感知方法已經不能有效感知整個網(wǎng) 絡的態(tài)勢�����。
發(fā)明內容
本發(fā)明要解決的技術問題是提供一種多維度網(wǎng)絡態(tài)勢感知的方法���、設備及系統(tǒng)�����,能夠有效感知整個網(wǎng)絡的態(tài)勢。本發(fā)明提供一種多維度網(wǎng)絡態(tài)勢感知的方法��,包括以下步驟對網(wǎng)絡中的報文進行采樣���,對采樣命中的報文進行特征提??���;利用提取的特征和網(wǎng)絡設備中的流進行匹配��,如果匹配命中��,則更新網(wǎng)絡設備中 匹配命中的流的信息�����;如果匹配未命中����,則從所述采樣命中的報文中提取具有多維度的相 互關聯(lián)的屬性信息��,利用所述提取的屬性信息生成一條新的流存儲于網(wǎng)絡設備中�����;將網(wǎng)絡設備中存儲的流發(fā)送給第三方服務器�;第三方服務器將所述流按照設定的至少兩個維度進行關聯(lián)���,將關聯(lián)后的結果進行 網(wǎng)絡態(tài)勢呈現(xiàn)�。優(yōu)選地,所述對網(wǎng)絡中的報文進行采樣��,具體為通過隨機抽取樣本的方式對網(wǎng)絡 中的報文進行采樣。優(yōu)選地,所述將網(wǎng)絡設備中存儲的流發(fā)送給第三方服務器之前���,還包括將網(wǎng)絡設 備中存儲的流進行整合���。優(yōu)選地,所述網(wǎng)絡設備中存儲的流存儲在網(wǎng)絡設備的緩存中�。本發(fā)明還提供一種多維度網(wǎng)絡態(tài)勢感知的設備�,包括特征提取單元�,用于對網(wǎng)絡中的報文進行采樣,對采樣命中的報文進行特征提 ?����?��;流匹配單元��,用于利用所述特征提取單元提供的特征和網(wǎng)絡設備中的流進行匹 配�����;流更新單元����,當所述流匹配單元匹配命中時,用于更新網(wǎng)絡設備中匹配命中的流 的信息�����;流生成單元,當所述流匹配單元匹配未命中時�����,用于從所述采樣命中的報文中提 取具有多維度的相互關聯(lián)的屬性信息����,利用所述提取的屬性信息生成一條新的流存儲于網(wǎng) 絡設備中�����;流發(fā)送單元,用于將網(wǎng)絡設備中存儲的流發(fā)送給網(wǎng)絡態(tài)勢呈現(xiàn)單元;網(wǎng)絡態(tài)勢呈現(xiàn)單元��,用于將所述流按照設定的至少兩個維度進行關聯(lián)�����,將關聯(lián)后 的結果進行網(wǎng)絡態(tài)勢呈現(xiàn)。優(yōu)選地�,所述特征提取單元包括采樣子單元���;所述采樣子單元�,用于通過隨機抽取樣本的方式對網(wǎng)絡中的報文進行采樣����。優(yōu)選地����,還包括流整合單元��,用于將網(wǎng)絡設備中存儲的流進行整合����。本發(fā)明還提供一種多維度網(wǎng)絡態(tài)勢感知的系統(tǒng)��,包括網(wǎng)絡設備和第三方服務器��;所述網(wǎng)絡設備,用于對網(wǎng)絡中的報文進行采樣���,對采樣命中的報文進行特征提??��; 利用提取的特征和網(wǎng)絡設備中的流進行匹配�����,如果匹配命中���,則更新網(wǎng)絡設備中匹配命中 的流的信息�;如果匹配未命中,則從所述采樣命中的報文中提取具有多維度的相互關聯(lián)的 屬性信息�����,利用所述提取的屬性信息生成一條新的流存儲于網(wǎng)絡設備中�����;將網(wǎng)絡設備中存 儲的流發(fā)送給第三方服務器�����;第三方服務器�,用于將所述流按照設定的至少兩個維度進行關聯(lián),將關聯(lián)后的結 果進行網(wǎng)絡態(tài)勢呈現(xiàn)。優(yōu)選地�����,所述網(wǎng)絡設備��,還用于將存儲在網(wǎng)絡設備中的流進行整合����,將整合后的流發(fā)送給第三方服務器��。優(yōu)選地���,所述網(wǎng)絡設備通過隨機抽取樣本的方式對網(wǎng)絡中的報文進行采樣。與現(xiàn)有技術相比���,本發(fā)明具有以下優(yōu)點本發(fā)明提供的多維度網(wǎng)絡態(tài)勢感知的方法���、設備和系統(tǒng)����,對網(wǎng)絡中的報文進行采 樣���,提取采樣的報文中的特征����,利用提取的特征判斷網(wǎng)絡設備中是否已經有該特征對應的 流����,如果有����,則對網(wǎng)絡設備中的流的信息進行更新���;如果沒有����,則從報文中提取多維度的相 互關聯(lián)的屬性信息,利用屬性信息生成新的流存儲于網(wǎng)絡設備中��,將網(wǎng)絡設備中的流發(fā)送 給第三方服務器,第三方服務器對流按照設定的至少兩個維度進行關聯(lián)�,將關聯(lián)的結果進 行網(wǎng)絡態(tài)勢的呈現(xiàn)。本發(fā)明采樣網(wǎng)絡中的報文�����,提取報文中的流,利用流作為屬性信息的載 體,從多維度對流進行關聯(lián)�,從而分析網(wǎng)絡態(tài)勢,最終將分析的結果進行呈現(xiàn)。由于可以從 不同的維度對流進行關聯(lián)���,因此��,關聯(lián)的結果是不同的,可以根據(jù)需要選擇維度�����,從而多角 度地全方位地感知整個網(wǎng)絡的態(tài)勢�����。
圖1是本發(fā)明提供的多維度網(wǎng)絡態(tài)勢感知方法的實施例一流程圖���;圖2是本發(fā)明提供的多維度網(wǎng)絡態(tài)勢感知方法的實施例二流程圖�;圖3是本發(fā)明選擇user和app兩個維度進行關聯(lián)的網(wǎng)絡態(tài)勢感知呈現(xiàn)圖��;圖4是本發(fā)明選擇IP地址和應用進行關聯(lián)的網(wǎng)絡態(tài)勢感知呈現(xiàn)圖�����;圖5是本發(fā)明選擇源地址和應用進行關聯(lián)的網(wǎng)絡態(tài)勢感知呈現(xiàn)圖;圖6是本發(fā)明提供的多維度網(wǎng)絡態(tài)勢感知的設備實施例一結構圖;圖7是本發(fā)明提供的多維度網(wǎng)絡態(tài)勢感知的設備實施例二結構圖����;圖8是本發(fā)明提供的多維度網(wǎng)絡態(tài)勢感知的系統(tǒng)實施例結構圖�����。
具體實施例方式為了使本領域技術人員能夠更好地理解和實施本發(fā)明提供的技術方案,下面介紹 本領域的幾個基本概念����。流是作為屬性的載體存在的�����,一條流中可以包含很多屬性。但是區(qū)分一條流與另 一條流是否相同的標準并不是要判斷所有的屬性是否相同,而是判斷表征流的幾個特征是 否相同即可。例如����,通過基本五元組來判斷流����,基本五元組是指源地址、目的地址��、源端口、 目的端口和協(xié)議。只要兩條流的五元組中的一個特征不相同��,則認為這兩條流不同�����,不屬于 同一條流。流的整合整合也通常稱為聚合�����,流是由基本五元組(源地址、目的地址���、源端口�����、 目的端口、協(xié)議)來區(qū)分不同的流。只要基本五元組有一個不相同��,這條流就被定義為不同 的流。當如果對于10條不同的流����,以流的某個屬性進行聚合的話����,可能10條不同的流就會 被聚合成同一條流���。比如以協(xié)議進行聚合�,10條流如果都是UDP的協(xié)議的話��,那么這10條 不同的流就被聚合為1條流��。如果10條流中有4條TCP的協(xié)議�,有6條UDP的協(xié)議���,那么 這10條流就被聚合為2條流���,分別是UDP流和TCP流��。為使本發(fā)明的上述目的、特征和優(yōu)點能夠更加明顯易懂���,下面結合附圖對本發(fā)明 的具體實施方式
做詳細的說明�����。
參見圖1,該圖為本發(fā)明提供的多維度網(wǎng)絡態(tài)勢感知方法的實施例一流程圖�。本實施例提供的多維度網(wǎng)絡態(tài)勢感知的方法�,包括以下步驟SlOl 對網(wǎng)絡中的報文進行采樣����,對采樣命中的報文進行特征提取��;提取報文中的特征主要是為了判斷網(wǎng)絡設備中是否已經存在特征所表征的流。報 文中的特征是區(qū)分一條流與另一條流的標準�。S102 利用提取的特征和網(wǎng)絡設備中的流進行匹配;如果匹配命中����,則執(zhí)行S103 ; 如果匹配未命中,則執(zhí)行S104 �����;由于區(qū)分流的標準是由特征來表征的,因此�����,只要網(wǎng)絡設備中的流的特征與從命 中的報文中提供的特征相同,則說明網(wǎng)絡設備中已經存在報文對應的流�,則不再將報文對 應的流存儲到網(wǎng)絡設備中��,只是更新網(wǎng)絡設備中已經存在的流的信息即可,例如����,更新流的
數(shù)量等����。S103 更新網(wǎng)絡設備中匹配命中的流的信息��;更新流的信息有流的大小(即報文大小的累加和)���、流中報文的個數(shù)等��。S104:從所述采樣命中的報文中提取具有多維度的相互關聯(lián)的屬性信息���,利用所 述提取的屬性信息生成一條新的流存儲于網(wǎng)絡設備中����;如果網(wǎng)絡設備中沒有命中的報文中的特征對應流,則生成新的流存儲于網(wǎng)絡設備 中��。需要說明的是,生成的新的流包含多維度的相互關聯(lián)的屬性信息���。S105 將網(wǎng)絡設備中存儲的流發(fā)送給第三方服務器;由于網(wǎng)絡設備僅是一個存儲流�����,實現(xiàn)流的轉發(fā)的設備��,因此為了通過流感知網(wǎng)絡 態(tài)勢,還需要進行進一步的分析處理�����,由第三方服務器來實現(xiàn)���。S106:第三方服務器將所述流按照預定的至少兩個維度進行關聯(lián)���,將關聯(lián)后的結 果進行網(wǎng)絡態(tài)勢呈現(xiàn)�����。第三方服務器對流進行一個數(shù)據(jù)加工過程�,將數(shù)據(jù)加工的結果呈現(xiàn)給使用者����。這 樣使用者便可以直觀地感知網(wǎng)絡態(tài)勢。選擇不同的維度進行關聯(lián)可以出現(xiàn)不同的結果�,因此���,可以從維度的選擇上來不 同角度地感知網(wǎng)絡態(tài)勢�����。從而可以全面地透析整個網(wǎng)絡的狀況��。本發(fā)明提供的多維度網(wǎng)絡態(tài)勢感知的方法��,對網(wǎng)絡中的報文進行采樣�,提取采樣 的報文中的特征,利用提取的特征判斷網(wǎng)絡設備中是否已經有該特征對應的流�,如果有,則 對網(wǎng)絡設備中的流的信息進行更新��;如果沒有����,則從報文中提取多維度的相互關聯(lián)的屬性 信息�,利用屬性信息生成新的流存儲于網(wǎng)絡設備中,將網(wǎng)絡設備中的流發(fā)送給第三方服務 器�,第三方服務器對流按照設定的至少兩個維度進行關聯(lián)����,將關聯(lián)的結果進行網(wǎng)絡態(tài)勢的 呈現(xiàn)��。本發(fā)明采樣網(wǎng)絡中的報文,提取報文中的流,利用流作為屬性信息的載體��,從多維度 對流進行關聯(lián)�,從而分析網(wǎng)絡態(tài)勢����,最終將分析的結果進行呈現(xiàn)。由于可以從不同的維度對 流進行關聯(lián)����,因此��,關聯(lián)的結果是不同的�,可以根據(jù)需要選擇維度,從而多角度地全方位地 感知整個網(wǎng)絡的態(tài)勢�。參見圖2�����,該圖為本發(fā)明提供的多維度網(wǎng)絡態(tài)勢感知方法的實施例二流程圖。S201 通過隨機抽取樣本的方式對網(wǎng)絡中的報文進行采樣����,對采樣命中的報文進 行特征提?���。挥捎诰W(wǎng)絡的流量增長迅速���,因此利用采樣的方法測量部分網(wǎng)絡流量�,從統(tǒng)計學角度獲得對網(wǎng)絡整體的認識�����。本實施例中采用采樣統(tǒng)計學中的隨機抽取樣本的方式��,例如�����, 對網(wǎng)絡中的每10個報文����,采集其中的一個報文作為樣本���,采集到的報文則是采樣命中的報文����。S202 利用提取的特征和網(wǎng)絡設備中的流進行匹配;如果匹配命中��,則執(zhí)行S203 ��; 如果匹配未命中���,則執(zhí)行S204 �;S203 更新網(wǎng)絡設備中匹配命中的流的信息���;S204:從所述采樣命中的報文中提取具有多維度的相互關聯(lián)的屬性信息��,利用所 述提取的屬性信息生成一條新的流存儲于網(wǎng)絡設備中;S205 將網(wǎng)絡設備中存儲的流進行整合。本實施例中網(wǎng)絡設備中存儲的流存儲在網(wǎng)絡設備的緩存(Cache)中。由于緩存的 容量是有限的���,因此�,為了節(jié)省緩存的空間�����,可以對流進行整合�,這樣將大大降低流占用的 空間�,以便于緩存存儲更多的內容��。S206 將整合后的流和未整合的流均發(fā)送給第三方服務器��。S207:第三方服務器將所述流按照設定的至少兩個維度進行關聯(lián)��,將關聯(lián)后的結 果進行網(wǎng)絡態(tài)勢呈現(xiàn)。下面結合表格舉例說明本發(fā)明提供的網(wǎng)絡態(tài)勢感知方法是如何實現(xiàn)的�。本發(fā)明實施例中提供了常用的維度,通過這些維度的關聯(lián)可以獲得關注的網(wǎng)絡態(tài) 勢。例如多維度的流如表1所示
權利要求
1.一種多維度網(wǎng)絡態(tài)勢感知的方法�,其特征在于���,包括以下步驟 對網(wǎng)絡中的報文進行采樣�,對采樣命中的報文進行特征提?��?���;利用提取的特征和網(wǎng)絡設備中的流進行匹配,如果匹配命中���,則更新網(wǎng)絡設備中匹配 命中的流的信息�;如果匹配未命中���,則從所述采樣命中的報文中提取具有多維度的相互關 聯(lián)的屬性信息�,利用所述提取的屬性信息生成一條新的流存儲于網(wǎng)絡設備中����; 將網(wǎng)絡設備中存儲的流發(fā)送給第三方服務器��;第三方服務器將所述流按照設定的至少兩個維度進行關聯(lián)����,將關聯(lián)后的結果進行網(wǎng)絡 態(tài)勢呈現(xiàn)。
2.根據(jù)權利要求1所述的多維度網(wǎng)絡態(tài)勢感知的方法,其特征在于��,所述對網(wǎng)絡中的 報文進行采樣����,具體為通過隨機抽取樣本的方式對網(wǎng)絡中的報文進行采樣。
3.根據(jù)權利要求1所述的多維度網(wǎng)絡態(tài)勢感知的方法�����,其特征在于,所述將網(wǎng)絡設備 中存儲的流發(fā)送給第三方服務器之前�,還包括將網(wǎng)絡設備中存儲的流進行整合����。
4.根據(jù)權利要求1-3任一項所述的多維度網(wǎng)絡態(tài)勢感知的方法�����,其特征在于�����,所述網(wǎng) 絡設備中存儲的流存儲在網(wǎng)絡設備的緩存中。
5.一種多維度網(wǎng)絡態(tài)勢感知的設備�����,其特征在于�����,包括特征提取單元��,用于對網(wǎng)絡中的報文進行采樣,對采樣命中的報文進行特征提?�。?流匹配單元���,用于利用所述特征提取單元提供的特征和網(wǎng)絡設備中的流進行匹配���; 流更新單元��,當所述流匹配單元匹配命中時,用于更新網(wǎng)絡設備中匹配命中的流的信息�;流生成單元����,當所述流匹配單元匹配未命中時,用于從所述采樣命中的報文中提取具 有多維度的相互關聯(lián)的屬性信息�����,利用所述提取的屬性信息生成一條新的流存儲于網(wǎng)絡設 備中;流發(fā)送單元��,用于將網(wǎng)絡設備中存儲的流發(fā)送給網(wǎng)絡態(tài)勢呈現(xiàn)單元�; 網(wǎng)絡態(tài)勢呈現(xiàn)單元,用于將所述流按照設定的至少兩個維度進行關聯(lián)�,將關聯(lián)后的結 果進行網(wǎng)絡態(tài)勢呈現(xiàn)。
6.根據(jù)權利要求5所述的多維度網(wǎng)絡態(tài)勢感知的設備���,其特征在于�����,所述特征提取單 元包括采樣子單元���;所述采樣子單元�,用于通過隨機抽取樣本的方式對網(wǎng)絡中的報文進行采樣。
7.根據(jù)權利要求5所述的多維度網(wǎng)絡態(tài)勢感知的設備���,其特征在于��,還包括流整合單 元,用于將網(wǎng)絡設備中存儲的流進行整合��。
8.—種多維度網(wǎng)絡態(tài)勢感知的系統(tǒng)�,其特征在于����,包括網(wǎng)絡設備和第三方服務器�����; 所述網(wǎng)絡設備���,用于對網(wǎng)絡中的報文進行采樣�,對采樣命中的報文進行特征提取�����;利用提取的特征和網(wǎng)絡設備中的流進行匹配�����,如果匹配命中�����,則更新網(wǎng)絡設備中匹配命中的流 的信息�;如果匹配未命中����,則從所述采樣命中的報文中提取具有多維度的相互關聯(lián)的屬性 信息,利用所述提取的屬性信息生成一條新的流存儲于網(wǎng)絡設備中�;將網(wǎng)絡設備中存儲的 流發(fā)送給第三方服務器�����;第三方服務器��,用于將所述流按照設定的至少兩個維度進行關聯(lián)���,將關聯(lián)后的結果進 行網(wǎng)絡態(tài)勢呈現(xiàn)。
9.根據(jù)權利要求8所述的多維度網(wǎng)絡態(tài)勢感知的系統(tǒng)�,其特征在于�����,所述網(wǎng)絡設備�����,還用于將存儲在網(wǎng)絡設備中的流進行整合�,將整合后的流發(fā)送給第三方服務器。
10.根據(jù)權利要求8或9所述的多維度網(wǎng)絡態(tài)勢感知的系統(tǒng)�����,其特征在于,所述網(wǎng)絡設 備通過隨機抽取樣本的方式對網(wǎng)絡中的報文進行采樣����。
全文摘要
本發(fā)明提供一種多維度網(wǎng)絡態(tài)勢感知的方法���、設備和系統(tǒng)����,其中方法包括對網(wǎng)絡中的報文進行采樣����,提取采樣的報文中的特征,利用提取的特征判斷網(wǎng)絡設備中是否已經有該特征對應的流�����,如果有���,則對網(wǎng)絡設備中的流的信息進行更新����;如果沒有,則從報文中提取多維度的相互關聯(lián)的屬性信息��,利用屬性信息生成新的流存儲于網(wǎng)絡設備中��,將網(wǎng)絡設備中的流發(fā)送給第三方服務器���,第三方服務器對流按照設定的至少兩個維度進行關聯(lián)���,將關聯(lián)的結果進行網(wǎng)絡態(tài)勢的呈現(xiàn)���。本發(fā)明從多維度對流進行關聯(lián),從而分析網(wǎng)絡態(tài)勢���,最終將分析的結果進行呈現(xiàn)。由于可以從不同的維度對流進行關聯(lián)�,關聯(lián)的結果是不同的,根據(jù)需要選擇維度����,多角度地全方位地感知整個網(wǎng)絡的態(tài)勢���。
文檔編號H04L29/06GK102143085SQ20111010765
公開日2011年8月3日 申請日期2011年4月27日 優(yōu)先權日2011年4月27日
發(fā)明者何志福, 張帥, 楊聰毅 申請人:北京網(wǎng)御星云信息技術有限公司